PPU: “Nuestra norma de protección de datos está absolutamente superada”

Mientras en Europa sacan las primeras lecciones de la puesta en vigencia del inédito reglamento general de protección de datos personales (RGPD) que lleva poco más de un mes en marcha, en Chile avanza el postergado proyecto de ley que regulará esta materia. La semana pasada, el gobierno envió una indicación para crear la nueva institucionalidad que resguardará los datos de todos los chilenos, la que recayó en el Consejo para la Transparencia (CPLT).

Si es o no el órgano más idóneo para ello sigue en discusión, pero los expertos creen que es mejor avanzar con lo que hay y dejar atrás los casi diez años que lleva esta discusión en el Parlamento. Ese es el tema que un grupo de expertos puso sobre la mesa en el seminario “ Protección de Datos Personales en la Economía Digital”, organizado por Chambers y PPU. Diario Financiero conversó con dos de sus protagonistas; el socio de PPU Chile, Eduardo Escalona, y la abogada de Uría, Leticia López-Lapuente, experta en protección de datos en la Unión Europea (UE).

-¿A poco más de un mes de su entrada en vigencia, cómo ha funcionado en la práctica el RGPD en la UE?

-Leticia López-Lapuente: Era muy necesario renovar la normativa de protección de datos en la UE y quedó claro que era un reglamento de aplicación directa que no deja mucho margen a los estados cómo regular...pero la adaptación les ha costado mucho a las empresas.

-¿Por qué?

LL: Esto implica cambios desde el diseño de las empresas, de cómo enfrentan los temas de protección de datos, el contar con un encargado de protección de datos, y bueno, no todas se han tomado los dos años para implementar las normas y lo han dejado para un estadio posterior, y aunque hubo mucho esfuerzo de parte de las organizaciones para ponerse al día y tampoco lo lograron.

-¿Qué las retrasó?

-LL: Un punto clave fueron las modificaciones a los consentimientos. Hasta ahora era solo necesario un consentimiento tácito y eso cambió radicalmente, ahora deben ser explícitos, cambiando el mapa para los equipos internos y de marketing de las empresas que venían con una base de datos desde hace años y han tenido que desplegar acciones para renovar consentimientos…esto ha implicado un esfuerzo muy grande, además de haber gatillado una avalancha de correos electrónicos con el objeto de renovar consentimiento o informar la nueva normativa.

-¿Cómo les ha ido a las empresas a la hora de conseguir los permisos?

-LL: No hay ratios oficiales, pero lo que se conoce es que están siendo bajos, de alrededor de un 15%.

-¿Ha fallado la comunicación?

-LL: Otro de los retos para las empresas es que la normativa exige dar mucha información y al mismo tiempo en un lenguaje claro y sencillo…Aquí hemos visto que se están arbitrando nuevos paradigmas de cómo informar.

El caso chileno

-En el caso de la UE vemos que han sido pioneros en protección de datos ¿Qué tanto nos falta para acercarnos en el país?

-Eduardo Escalona: Nuestra normativa de protección de datos está absolutamente superada, es insostenible la situación en que estamos, tanto es así, que todas las empresas multinacionales en Chile -que están sujetas a cumplimiento de normas en otros países- están adecuando su cumplimiento de normas al estándar de esas naciones, lo que claramente las deja mucho mejor preparadas frente a los eventuales riesgos que podría gatillar un cambio regulatorio en el país.

-Por lo tanto, habrá una brecha considerable con el resto de las empresas locales…

-EE: A las multinacionales se les va a hacer un poco más simple la implementación, porque seguramente cuentan con personas encargadas de los temas de protección de datos, tienen mecanismo de compliance,etc. El mayor impacto será para las empresas que operan a nivel local, y más aún para las que están partiendo.

-¿Cuál es el riesgo que corren?

-EE: Esta normativa afecta directamente al marketing y la publicidad, que pese a lo invasiva que pueda ser, es la forma en que se da a conocer una nueva empresa, si no puede acceder a una base de datos que le permita llegar a potenciales clientes, la verdad es que va a tener un punto de partida en su desarrollo mucho más lento.

-En cuanto a los plazos de implementación que se contemplan en el actual proyecto de ley ¿son suficientes?

-EE: Es un tiempo estrecho (estamos hablando de 1 año) y eso implica implementar todas las normas y después veremos si se da un plazo para las adecuaciones de 24 meses adicionales. Pero estos plazos que parecen largos cuando las autoridades están en proceso de constitución se hacen muy cortos.

-¿Qué le parece que sea el Consejo para la Transparencia el que se encargue de la protección de datos? ¿Es lo más idóneo?

EE: Siendo pragmático, prefiero que se apruebe y de ahí vemos cómo evoluciona y, si el día de mañana se puede dividir en dos agencias, mejor; pero lo que no nos puede pasar es tener la visión fundamentalista e idealista respecto de la existencia de una agencia con presupuestos amplios y que de nuevo se paralice la promulgación de la ley ¡Llevamos nueve años y aún no se aprueba!